UKA Aylık / Kasım Bülteni: Kişisel Verilerin Yurt Dışına Aktarım Yolları ve Sonuçları

1. Giriş ve Kapsam

Bilgi teknolojilerindeki hızlı ilerleme ve uluslararası ticaretin yaygınlaşması, kişisel verilerin ulusal sınırları aşarak serbestçe dolaşımını zorunlu kılmıştır. Verilerin yurt dışına aktarılmasına özellikle çok uluslu veri sorumlularının verileri tek bir merkezde toplamak istemesi, mali kararlar ve verilerin güvenlik düzeyinin artırılması ihtiyaçları sebebiyle de ihtiyaç duyulmaktadır. Ancak bu serbest dolaşım, bireylerin temel hak ve özgürlüklerinin korunması gerekliliğiyle dengelenmesi ihtiyacını doğurmuştur.

Türkiye’de kişisel verilerin yurt dışına aktarılması konusu, özellikle 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) çerçevesinde, hem veri sorumluları hem de veri sahipleri (ilgili kişiler) için en kritik düzenleme alanlarından birini teşkil etmektedir.

KVKK, kişisel verilerin yurt dışına aktarılmasını, temel olarak veri sahibinin açık rızasına veya Kanun’da belirtilen hukuki işleme şartlarından birinin varlığına bağlamaktadır. Ancak Kanunun temel felsefesi, verinin aktarılacağı yabancı ülkede de Türkiye'deki koruma düzeyine eşdeğer bir güvencenin sağlanmasıdır. Aksi takdirde, verilerin güvenlik ve gizlilik riskleri altına girmesi kaçınılmaz hale gelecektir.

Bu kapsamda, 1 Haziran 2024 tarihinde yürürlüğe giren KVKK’nın 9. maddesindeki köklü değişiklikler, yurt dışına veri aktarım rejimini yeniden şekillendirmiştir. Yeni düzenlemeler, Avrupa Birliği'nin (AB) Genel Veri Koruma Tüzüğü (GDPR) ile uyumu artırma hedefiyle, aktarım mekanizmalarının çeşitli güvencelere dayandırılması zorunlu kılınmıştır.

Bu makale, küresel veri akışının kaçınılmaz olduğu günümüz dijital ekosisteminde, veri sorumlularının Türkiye’deki güncel mevzuata tam uyumunu sağlamak adına bu yeni aktarım rejiminin detaylarını ve getirdiği yükümlülükleri incelemektedir.

2. Yasal Çerçeve

2.1. Türkiye’de Kişisel Verilerin Korunması ve Yurt Dışına Aktarılması Mevzuatı

Kişisel verilerin korunmasına ilişkin hukuki sürecin temeli, Türkiye Cumhuriyeti Anayasası'nın 20. maddesine 2010 yılında eklenen fıkra ile atılmıştır. Bu fıkra ile:

"Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir."

denilerek, kişisel verilerin korunması temel bir hak olarak güvence altına alınmıştır.

Türkiye'de kişisel verilerin yurt dışına aktarılmasına ilişkin mevzuat düzenlemeleri ise, temel olarak KVKK ve 1 Haziran 2024 tarihinde yürürlüğe giren 7499 sayılı Kanun ile değişikliğe uğrayan KVKK'nın 9. maddesi ve bu maddeye ilişkin usul ve esasları belirleyen 10 Temmuz 2024 tarihli Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik ile düzenlenmiştir.

7499 sayılı Kanun ile değiştirilen Kanunun 9. maddesinin uygulanmasına ilişkin usul ve esasları belirleyen Yönetmeliğin 4 üncü maddesinin (e) bendinde kişisel verilerin yurt dışına aktarılması; “kişisel verilerin 6698 sayılı Kanun kapsamındaki bir veri sorumlusu veya veri işleyen tarafından yurt dışındaki bir veri sorumlusu veya veri işleyene iletilmesi ya da başka bir suretle erişilebilir hâle getirilmesi” şeklinde tanımlanmıştır.

Aynı zamanda Kişisel Verileri Koruma Kurumu’nun (Kurum) veri sorumlusu, veri işleyen ve veri sahiplerine uygulamada yol göstermesi adına 2 Ocak 2025 tarihinde internet sitesinde yayınladığı Kişisel Verilerin Yurt Dışına Aktarılması Rehberi de yol gösterici niteliktedir.

Bu düzenlemeler, kişisel verilerin uluslararası dolaşımında yeterli koruma düzeyinin sağlanmasını ve veri sahiplerinin haklarının korunmasını amaçlamaktadır.

2.2. Uluslararası Düzeyde Yurt Dışına Veri Aktarımı Mevzuatı

Avrupa Veri Koruma Tüzüğü (GDPR)

Kişisel verilerin yurt dışına aktarılmasına ilişkin uluslararası uygulamalar, büyük ölçüde GDPR tarafından belirlenen standartlar etrafında şekillenmektedir. Türkiye'deki KVKK'nın 2024 değişiklikleri de AB uygulamalarına uyumu hedeflemektedir. Uluslararası uygulamalar temel olarak, aktarımın yapılacağı yabancı yargı alanında "yeterli koruma düzeyinin" nasıl sağlandığı sorusuna odaklanmaktadır. GDPR, kişisel veri aktarımında en katı ve en etkili küresel düzenlemedir.

KVKK'nın yeni 9. maddesi, AB'deki sistemin temel yapısını Türkiye hukukuna taşımıştır.

Uluslararası düzeydeki uygulamaların ortak noktası, verinin yurt dışına aktarılsa bile, veri sahibinin haklarının aktarım sonrasında da korunmaya devam edeceğine dair hukuki ve teknik bir güvencenin zorunlu tutulmasıdır. Bu güvence; ülkenin kendi mevzuatından, iki taraf arasındaki sözleşmeden ya da kurallar setinden doğabilir. Türkiye'deki yeni düzenlemeler de bu küresel uyum çerçevesinde belirlenmiştir.

3. Aktarım Yöntemleri ve Şartlar

Kişisel verilerin yurt dışına aktarılabilmesi için öncelikle KVKK'nın 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartlarından birinin var olması gerekir. Bu şartların varlığı halinde, aktarım üç temel mekanizmadan biriyle gerçekleştirilebilir. Veri aktarımı yapılmadan önce bu koşulların varlığı sırasıyla değerlendirilmelidir:

1. Yeterlilik Kararına Dayalı Aktarım

Bu mekanizma, yurt dışına kişisel veri aktarımında aranacak ilk ve öncelikli ölçüttür. Kurul’un, bir ülkenin, uluslararası kuruluşun veya ülke içerisindeki bir veya birden fazla sektörün yeterli düzeyde koruma sağladığına ilişkin vereceği karar Yeterlilik Kararı olarak tanımlanmıştır.

Yeterlilik kararı bulunan ülkelere veya kuruluşlara, yurt içi aktarımlarda aranan KVKK'nın 5. ve 6. maddesindeki işleme şartlarından birinin varlığı ile veri aktarımı serbestçe yapılabilir. Kurul tarafından verilen yeterlilik kararları dört yılda bir yeniden değerlendirilir ve gerektiğinde değiştirilebilir, askıya alınabilir veya kaldırılabilir.

Bu durumda, KVKK'nın 5. veya 6. maddesindeki işleme şartlarından birinin varlığına ek olarak uygun güvencelerden biri sağlanmalı ve ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması gerekir. Buna göre; Türkiye’nin taraf olduğu uluslararası antlaşmaları, aktarımın yapılacağı ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu, her somut aktarımda kişisel verinin niteliği ile işlenme amaç ve süresini, kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını ve kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri dikkate alacaktır.[1]

Kasım 2025 itibariyle Kurul tarafından yeterlilik kararı verilmiş ülke mevcut değildir. Ancak, Kurul'un öncelikle, GDPR ile uyumlu ve Avrupa Komisyonu'ndan Yeterlilik Kararı almış AB/AEA üyeleri, Birleşik Krallık, İsviçre gibi ülkeleri incelemesi ve bu ülkeler için hızla Yeterlilik Kararı yayımlaması beklenmektedir.

2. Uygun Güvenceler ile Aktarım

2.1. Standart Sözleşmeler

Kurul tarafından ilan edilen, veri kategorileri, aktarım amaçları ve alınacak teknik/idari tedbirleri içeren standart sözleşmelerin akdedilmesi ve Kuruma bildirilmesi ile aktarım tamamlanabilir. Kurul’un bu aktarıma ilişkin izni aranmaz, ancak bildirim yapılması zorunludur.

KVKK'nın 9. maddesinin getirdiği yenilikler kapsamında, yeterlilik kararı bulunmayan ülkelere veri aktarımında Uygun Güvenceler mekanizması devreye girer. Bu güvencelerden biri de Kurul tarafından ilan edilen Standart Sözleşmelerin kullanılmasıdır.

2.1.1 Standart Sözleşmelerin Amacı ve Niteliği

Standart Sözleşmeler, Türkiye'deki veri sorumlusu/veri işleyen ile yurt dışındaki alıcı arasında, aktarılan verilere yurt dışında da KVKK'ya eşdeğer bir koruma düzeyinin sağlanacağını hukuken garanti altına almak üzere oluşturulmuş şablon sözleşmelerdir.

Sözleşmelerin içeriği ve formatı, Kişisel Verileri Koruma Kurulu (Kurul) tarafından belirlenir ve Resmî Gazete'de yayımlanarak ilan edilir. Veri aktarımını yapacak taraflar, bu ilana uygun standart sözleşmeyi kullanmak zorundadır. Veri sorumlularının yurt dışına veri aktarımında kullanacakları Standart Sözleşmelerin hukuki metinleri, 10 Temmuz 2024 tarihi itibarıyla kullanıma sunulmuştur. Bu sözleşmelerin kullanılması, Kurul'a beş iş günü içinde bildirim yükümlülüğüne tabidir.

Sözleşme, alıcının verilerin işlenmesi ve korunması için gerekli teknik ve idari tedbirleri alacağını, veri sahiplerinin haklarını kullanabilmesini sağlayacağını ve Türk hukukuna uyacağını taahhüt eden hükümleri içerir.

2.1.2. Sözleşmenin İçeriği ve Taraflar

Standart Sözleşmeler, genellikle şu temel unsurları kapsar:

Kurum tarafından yayımlanan Standart Sözleşme taslakları seçimlik veya alternatif içerikli maddeler içermekte olup bu maddeler dışında standart sözleşme metinleri üzerinde herhangi bir ekleme, çıkarma veya değişiklik yapılmaması gerektiği vurgulanmıştır.

2.1.3. Standart Sözleşme Kullanım Süreci

Standart Sözleşmelerle veri aktarımı, yeni düzenlemelerle birlikte Kurul iznine tabi değildir, ancak belirli bir bildirim yükümlülüğüne tabidir.

Standart Sözleşmelerin Kurul tarafından izne tabi olmaması, denetimden muaf olduğu anlamına gelmeyecektir. Sözleşme hükümlerine uyulmaması, Kurul kararlarına aykırılık teşkil eder. Kurul, sözleşme hükümlerine aykırı bir durum tespit ettiğinde veya veri güvenliğinin tehlikede olduğunu gördüğünde, aktarımı geçici olarak durdurma veya tamamen yasaklama yetkisine sahiptir. KVKK hükümlerine aykırı hareket edenlere, Kanun'un 18. maddesi uyarınca idari para cezası uygulanabilir.

Bu mekanizma, veri sorumlularına hızlı ve öngörülebilir bir aktarım yolu sunarken, Kuruma da sözleşmelerin içeriğini belirleme ve denetleme yetkisi vererek koruma düzeyini güvence altına almaktadır.

2.2. Bağlayıcı Şirket Kuralları (BCR - Binding Corporate Rules)

Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketler arası düzenli aktarımlar için Kurul tarafından onaylanmış şirket kurallarının bulunması halidir.

Bağlayıcı Şirket Kuralları (BCR), özellikle aynı ekonomik faaliyet grubuna ait uluslararası şirketler arasında sürekli ve sistemli kişisel veri aktarımlarını güvenli bir çerçevede gerçekleştirmek için tasarlanmış bir mekanizmadır.

2.2.1. BCR’nın Amacı ve Niteliği

Ortak ekonomik faaliyette bulunan bir teşebbüs grubunun, grup içindeki farklı ülke ve şirketler arasındaki veri aktarımları için oluşturduğu iç kurallar setidir. Bu kurallar, grubun tüm üyeleri için hukuken bağlayıcıdır ve veri aktarımının gerçekleştiği her ülkede bu kurallara uyulması zorunludur. Genellikle çok uluslu şirketler, holdingler veya aynı grup çatısı altında faaliyet gösteren iştirakler tarafından kullanılır.

BCR'nin geçerlilik kazanması ve yurt dışına veri aktarımı için kullanılabilmesi için Kurul Onayı şarttır.

Teşebbüs grubu içindeki Türkiye'deki veri sorumlusu, oluşturduğu BCR taslağını Kurul'a sunarak onay başvurusunda bulunur. Kurul, BCR'leri aşağıdaki hususlara göre inceler:

Hukuki Bağlayıcılık: Kuralların grup içindeki her üye için hukuken bağlayıcı olup olmadığı.

Veri Sahiplerinin Hakları: Veri sahiplerine başvuru ve etkili hukuki yollara başvurma imkânının tanınıp tanınmadığı.

İç Denetim Mekanizması: Kurallara uyumu denetleyecek bir mekanizmanın (örneğin Veri Koruma Görevlisi) olup olmadığı.

Uluslararası İşbirliği: KVKK, uluslararası işbirliği kapsamında, BCR'lerin yabancı bir veri koruma otoritesi tarafından onaylanmış olması durumunda Kurul'un bu onayı dikkate alabileceğini öngörür.

2.3. Yazılı Taahhütname ve Kurul İzni

Taahhütname, taraflar arasında imzalanan ve Kurul'a sunulan resmi bir belgedir. Bu mekanizma, özellikle tekil, büyük ölçekli ve kritik veri aktarımları için kullanılır. Aynı zamanda, genellikle BCR şartlarını taşımayan veya Standart Sözleşmeleri kullanmayı tercih etmeyen veri sorumluları için esnek bir çözümdür.

Veri sorumlusu ve yurt dışındaki alıcı, Kurul'a, aktarılan verilere yönelik yeterli bir koruma seviyesi sağlayacaklarına dair detaylı ve somut bir yazılı taahhütname verirler. Bu taahhütname, tarafların özel aktarım ihtiyaçlarına ve veri türüne göre özelleştirilebilir; ancak içeriği, Kurul'un beklentilerini karşılamak zorundadır.

Bu mekanizma, doğrudan Kurul iznine tabidir ve en zorlu onay sürecine sahip olabilir.

·    Taahhütnamenin Hazırlanması: Taahhütname, aktarılacak verilerin kategorilerini, aktarım amacını, alıcının veri güvenliği politikalarını ve veri sahiplerinin haklarını güvence altına alan detaylı hükümleri içermelidir.

·        Başvuru ve İnceleme: Taahhütname, yurt dışındaki alıcı ile birlikte imzalanarak Kurul'a sunulur. Kurul, taahhütnamenin sunduğu güvencelerin KVKK standartlarına uygun olup olmadığını detaylıca inceler.

·   İzin Şartı: Kurul, taahhütnamede belirtilen taahhütlerin yeterli koruma düzeyini sağladığına kanaat getirirse, bu aktarıma izin verir. İzin alınmadan aktarım yapılamaz.

·        Ek Şartlar: Kurul, izin verirken ek şartlar veya periyodik raporlama yükümlülükleri getirebilir.

BCR ve Yazılı Taahhütname mekanizmaları, Standart Sözleşmelere göre daha fazla bürokratik süreç ve Kurul denetimi gerektirse de, veri sorumlularına kendi özel koşullarına uygun, sağlam ve uzun vadeli aktarım güvenceleri oluşturma imkânı tanır. Yazılı Taahhütname mekanizması, özellikle standart sözleşme şablonlarının kapsamadığı karmaşık veya kritik aktarım senaryolarında, veri sorumlusuna Kurul denetimi altında özel çözümler üretme imkânı sunar.

Yazılı Taahhütname ve Standart Sözleşme Karşılaştırması

Taahhütname, Türkçe’nin yanı sıra farklı dillerde de akdedilebilir. Fakat herhangi bir ihtilaf hâlinde, Kurul tarafından Türkçe metin esas alınır. Yine taahhütname, Türk hukukuna tâbidir ve taraflar, Türk mahkemelerinin yargı yetkisini tanımayı kabul eder.[2]

2.4. Uluslararası Sözleşme Niteliğinde Olmayan Anlaşma

Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye'deki kamu kurum ve kuruluşları arasında uluslararası sözleşme niteliğinde olmayan bir anlaşmanın varlığı ve Kurulun izni ile verilerin yurt dışına aktarılması mümkün olabilecektir. Bu mekanizma, özel sektör kuruluşları (ticari şirketler) arasındaki aktarımlar için kullanılamaz. Özel sektör için Standart Sözleşmeler veya Bağlayıcı Şirket Kuralları (BCR) gibi diğer uygun güvenceler geçerlidir.

2.4.1. Anlaşmanın Niteliği ve Şartlar

Bu mekanizmanın en belirgin özelliği, aktarımın dayanağı olan belgenin niteliğidir. Aktarımın dayanağı, TBMM onayı gerektiren resmi bir uluslararası anlaşma değildir; tarafların kendi aralarında imzaladığı, daha alt düzeyde bir işbirliği protokolü, mutabakat zaptı veya anlaşma niteliğindedir.

Anlaşmanın varlığına ek olarak, yurt içi aktarımlarda aranan KVKK'nın 5. veya 6. maddesindeki bir kişisel veri işleme şartının (açık rıza, kanuni zorunluluk, kamu yararı vb.) da mevcut olması gerekir.

2.4.2. Kurul İzni Zorunluluğu

Bu anlaşmaya dayalı veri aktarımının hukuken geçerlilik kazanması için Kurul izni zorunludur. İmzalanan anlaşma, Kurul'a sunularak izin başvurusu yapılır. Başvuruda, aktarılacak verilerin türü, aktarımın amacı ve en önemlisi, yurt dışında sağlanacak yeterli koruma güvenceleri detaylıca belirtilmelidir. Aktarım, ancak Kurul izni alındıktan sonra hukuka uygun şekilde gerçekleştirilebilir.

Bu mekanizma, kamu kurumlarının diplomatik, güvenlik, eğitim veya kültürel işbirliği gibi alanlarda gerçekleştirdikleri, ancak uluslararası bir sözleşme düzeyine taşınmayan düzenli veri paylaşımlarını yasal zemine oturtmayı sağlar.

Aynı zamanda Kurul’un 10 Kasım 2025 tarihinde internet sitesinde yayınlanan duyuru ile İçişleri Bakanlığı Göç İdaresi Başkanlığı ile Birleşmiş Milletler Mülteciler Yüksek Komiserliği (UNHCR) arasında kişisel verilerin yurt dışına aktarılmasına dayanak teşkil edecek “uluslararası sözleşme niteliğinde olmayan anlaşma”ya Kurul tarafından Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik’in 11 inci maddesi kapsamında değerlendirilerek söz konusu aktarıma 21.10.2025 tarihinde izin verilmiştir.[3]

Kurul, geçtiğimiz yıl güncellenen KVKK'nın yurt dışına veri aktarımına ilişkin yeni kuralları kapsamında ilk iznini verdi. Kurumu'n bu kararı, Türkiye’nin uluslararası kurumlarla veri paylaşımına ilişkin ilk örneklerinden biri olarak dikkat çekmektedir.

3. İstisnai Haller (Arızi Aktarımlar)

Ne yeterlilik kararı ne de uygun güvencelerin sağlanamadığı durumlarda, veri aktarımı sınırlı sayıda belirlenmiş istisnai hallerde gerçekleştirilebilir. Bu istisnalar, arızi (düzenli olmayan, süreklilik göstermeyen ve nadiren gerçekleşen) aktarımlar için geçerlidir ve şunlardır:

·       İlgili kişinin açık rızasının bulunması.

·     Fiilî imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunanın veya rızasına hukuki geçerlilik tanınmayanın hayatı veya beden bütünlüğünün korunması için zorunlu olması.

·      Bir sözleşmenin kurulması veya ifası için aktarımın zorunlu olması.

·      Uluslararası anlaşmalardan doğan bir yükümlülüğün yerine getirilmesi.

·   Kamunun menfaatinin veya hukuki yararının gerektirdiği durumlarda, ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izin vermesi.

Kişisel verilerin yurt dışına istisnai olarak aktarılması hükümlerinin uygulanması son derece kısıtlı tutulmalıdır. Veri aktarımı yapılmadan önce, öncelikle yeterlilik kararının mevcut olup olmadığı, yeterlilik kararı yoksa uygun güvencelerden birinin sağlanıp sağlanamadığı mutlaka kontrol edilmelidir.

7499 sayılı Kanun gerekçe metninde buna ilişkin örnek olarak; “Türkiye’deki bir şirketin yurt dışında bulunan bir şirketle arızi olarak gerçekleştirmeyi düşündüğü ticari faaliyet bakımından muhatap şirketle irtibat halinde olacak çalışanlarına ilişkin bilgileri paylaşması” verilmiştir.[4]

Bir aktarımın istisnai kabul edilip edilemeyeceği değerlendirilirken, birden fazla kez gerçekleşmiş olsa bile, aşağıdaki kıstasların tümü açısından değerlendirilmesi gerekmektedir:

·        Aktarımın düzenli bir iş akışının parçası olmaması.

·        Aktarımda bir süreklilik halinin bulunmaması.

·   Öngörülemeyen koşullar altında ve belirsiz zaman aralıkları içinde, olağan iş süreçlerinin dışında gerçekleşmesi.

Özetle, istisnai aktarımlar sadece geçerli bir hukuki güvencenin sağlanamadığı durumlarda ve yalnızca nadir, öngörülemez koşullara özgülenmelidir.

4. Özel Nitelikli Kişisel Verilerin Aktarımı

Sağlık, cinsel hayat, ırk, etnik köken, siyasi düşünce, din, dernek üyeliği vb. özel nitelikli kişisel verilerin yurt dışına aktarımında da yukarıdaki mekanizmalar geçerlidir. Ancak, KVKK'nın 6. maddesindeki şartlara ek olarak bu verilere özgü ek tedbirlerin alınması zorunludur. Özel nitelikli kişisel verilerin aktarımında, veri sorumluları, Kurul tarafından yayımlanan "Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" başlıklı Kararda belirtilen idari ve teknik tedbirleri zorunlu olarak almakla yükümlüdür.

Özel nitelikli kişisel veriler aktarılacaksa;

a.     Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması,

b.     Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması,

c.      Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi,

d.     Verilerin kâğıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi gerekir.[5]

5. Yurt Dışı Aktarımın Riskleri ve Yaptırımlar

Yurt dışına veri aktarımı mevzuatının ihlali, veri sorumluları için yüksek idari para cezaları, cezai sorumluluk ve operasyonel aksaklıklar dâhil olmak üzere ciddi riskler ve yaptırımlar doğurur.

5.1. İdari Para Cezaları

·       Kişisel verilerin güvenliği yükümlülüğü yerine getirilmezse: 204.285 – 13.620.402 TL

·       Kurul kararlarını yerine getirilmezse: 340.476 – 13.620.402 TL

·       Standart sözleşme Kurula bildirilmezse: 71.965 – 1.439.300 TL

5.2. Tazminat Davaları

Yaptırımların yanı sıra, hukuka aykırı veri aktarımı veri sorumlusu için birden fazla alanda risk oluşturur. Kurul’un aktarımın mevzuata aykırı olduğunu tespit etmesi durumunda veri sorumlusuna aktarımı derhal durdurma yükümlülüğü getirir. Bu durum, yurt dışındaki iş ortağına bağlı olan operasyonların tamamen aksamasına neden olabilir. Hukuka aykırı aktarım sonucu kişisel verisi zarar gören veri sahipleri, maddi ve manevi tazminat davası açabilirler.

5.3. Cezai Sorumluluk

 İzinsiz veya hukuka aykırı veri aktarımı, 5237 sayılı Türk Ceza Kanunu (TCK) kapsamında "Kişisel Verilerin Hukuka Aykırı Olarak Verme veya Ele Geçirme" suçunu oluşturabilir. TCK md. 136'da düzenlenen iki yıldan dört yıla kadar hapis cezasını içeren yaptırımlar tüzel kişiler için değil, ancak şirket yöneticileri ve yetkili çalışanları için doğabilir.

5.4. Özel Nitelikli Verilerde Yaptırım

Özellikle özel nitelikli kişisel verilerin hukuka aykırı olarak yurt dışına aktarılması durumunda, hem idari para cezasının üst sınırının uygulanma ihtimali yükselir hem de TCK kapsamındaki cezai soruşturmaların açılması riski artar. Kurul, hassas veri ihlallerine karşı sıfır tolerans göstermektedir. Bu durum idari para cezaları bakımından da üst sınırların uygulanması sonucunu doğurabilecektir.

6. Sonuç ve Öneriler

Bu makale, KVKK’nın 7499 sayılı Kanun ile değişen 9. maddesi çerçevesinde, Türkiye’deki yurt dışı veri aktarım rejiminin AB standartlarına uyum sağlama yolunda kritik bir dönüşüm geçirdiğini ortaya koymuştur. Aktarım süreçlerinin artık yeterlilik kararı, uygun güvenceler ve arızi istisnalar olmak üzere hiyerarşik bir mekanizmaya bağlandığıdır. Bu yeni rejim, önceki izin mekanizmasına kıyasla veri sorumlularına Standart Sözleşmeler yoluyla daha öngörülebilir bir süreç sunarken, mevzuata uyum yükümlülüğünü ve Kurul’un denetim yetkisini artırmıştır.

Veri sorumlularının hukuki riskleri minimize etmeleri ve yeni mevzuata tam uyum sağlamaları için atılması gereken öncelikli pratik adımlar şunlardır:

·       Veri Envanteri ve Haritalama: Aktarım süreçlerinin yeniden değerlendirilmesinin ilk adımı, hangi veri türlerinin (özel nitelikli veriler dâhil), hangi amaçla ve hangi ülkelere aktarıldığının netleştirildiği güncel bir Veri Envanteri oluşturmaktır. Mevcut her bir yurt dışı aktarımı için, yeni KVKK md. 9 uyarınca geçerli bir hukuki zemin oluşturulmalı ve belgelendirilmelidir.

·       Aktarım Politikası Oluşturma: Şirket içi tüm aktarım faaliyetlerini standartlaştırmak ve şeffaflığı sağlamak amacıyla, belirlenen hukuki zeminleri, süreçleri ve teknik/idari tedbirleri kapsayan kapsamlı bir "Yurt Dışı Veri Aktarımı Politikası" hazırlanabilir ve tüm ilgili birimlerce uygulanabilir.

Türkiye’nin yeni veri aktarım rejimiyle AB hukukuyla yüksek düzeyde uyum sağlaması, Kurul’un ilerleyen dönemlerde AB'nin "güvenli" kabul ettiği ülkeler başta olmak üzere, Yeterlilik Kararları yayımlama ihtimalini güçlendirmektedir. Bu kararların yayımlanması, veri akışını büyük ölçüde serbestleştirecek ve uluslararası işbirliğini hızlandıracaktır. Ancak küresel veri koruma standartlarının sürekli geliştiği düşünüldüğünde, veri sorumlularının mevzuata uyumu tek seferlik bir süreç değil, düzenli denetim ve eğitim gerektiren sürekli bir uyum kültürü olarak benimsemeleri gerekmektedir. Yeni düzenlemeler, Türkiye'nin dijital ekonomideki konumunu güçlendirirken, veri güvenliği konusundaki kararlılığını da pekiştirmektedir.

[1] Berna Akçalı Gür, “Uluslararası Hukuk ve AB Hukuku Boyutuyla Kişisel Verilerin Yurt Dışına Aktarılması”, Marmara Üniversitesi Hukuk Fakültesi Hukuk Araştırmaları Dergisi • Cilt 25, Sayı 2, Prof. Dr. Ferit Hakan Baykal Armağanı, Aralık 2019, ISSN 2146-0590, ss. 850-872 DOI: 10.33433/maruhad.665460, s.869.

[2] Kişisel Verilerin Yurt Dışına Aktarılması Rehberi, KVKK Yayınları No: 48, s.62.

[3] https://www.kvkk.gov.tr/Icerik/8538/uluslararasi-sozlesme-niteliginde-olmayan-anlasma-ile-yurt-disina-kisisel-veri-aktarimina-izin-verilmesi-hakkinda-duyuru

[4] TBMM, Ceza Muhakemesi Kanunu ile Bazı Kanunlarda ve 659 Sayılı Kanun Hükmünde Kararnamede Değişiklik Yapılmasına Dair Kanun Teklifi, https://cdn.tbmm.gov. tr/KKBSPublicFile/D28/Y2/T2/WebOnergeMetni/6e8b6477-2942-49d1-acf1- cfa13bcac252.pdf, s.e.t.25.07.2024

[5] "Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı